Theo đó, tổ chức, cá nhân chỉ được thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó. Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân.
Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Luật cũng nhấn mạnh cơ quan nhà nước chịu trách nhiệm bảo mật, lưu trữ thông tin cá nhân do mình thu thập. Chủ thể thông tin cá nhân có quyền yêu cầu cung cấp thông tin cá nhân của mình; lưu trữ; sửa đổi, cập nhật, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập được hoặc yêu cầu ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba. Cơ quan quản lý nhà nước phải thiết lập kênh thông tin trực tuyến để tiếp nhận các kiến nghị, phản ánh liên quan đến bảo đảm an toàn thông tin cá nhân trên mạng.